قابل ذکر است، علیرغم تعداد قابل توجه نصب، هیچ یک از افزونه های مشکل ساز نظرات کاربران را ندارند، و این سؤالاتی را در مورد نحوه نصب افزونه ها و اینکه چگونه فعالیت های مخرب شناسایی نشده است، ایجاد می کند. اکنون همه افزونههای مشکلساز از فروشگاه وب Chrome حذف شدهاند.
به گفته محققان، فعالیت های مخرب مربوط به افزونه های مسدود شده از ژانویه 2019 ادامه داشته است، اما دامنه های فردی که برای انجام اقدامات مخرب استفاده می شوند در سال 2017 ثبت شده اند.
در بیشتر موارد، افزونه های مخرب به عنوان ابزاری برای تبلیغ محصولات و شرکت در خدمات تبلیغاتی ارائه می شدند (کاربر تبلیغات را مشاهده می کند و حق امتیاز دریافت می کند). افزونه ها هنگام باز کردن صفحات از تکنیک تغییر مسیر به سایت های تبلیغاتی استفاده می کردند که قبل از نمایش سایت درخواستی به صورت زنجیره ای نشان داده می شدند.
همه افزونهها از یک تکنیک برای پنهان کردن فعالیتهای مخرب و دور زدن مکانیسمهای تأیید افزودنی در فروشگاه وب Chrome استفاده میکردند. کد همه افزونه ها در سطح منبع تقریباً یکسان بود، به استثنای نام توابع، که در هر افزونه منحصر به فرد بودند. منطق مخرب از سرورهای کنترل متمرکز منتقل شد. در ابتدا، این افزونه به دامنهای متصل شد که نام آن با نام افزونه یکسان بود (به عنوان مثال Mapstrek.com)، پس از آن به یکی از سرورهای کنترل هدایت شد که اسکریپتی برای اقدامات بعدی
برخی از اقداماتی که از طریق افزونهها انجام میشود شامل آپلود اطلاعات محرمانه کاربر در سرور خارجی، ارسال به سایتهای مخرب و افراط در نصب برنامههای مخرب (مثلاً پیامی مبنی بر آلوده بودن رایانه و ارائه بدافزار تحت عنوان نمایش داده میشود. ظاهر یک آنتی ویروس یا به روز رسانی مرورگر). دامنههایی که به آنها تغییر مسیر داده شد، شامل دامنههای فیشینگ و سایتهای مختلف برای بهرهبرداری از مرورگرهای بهروزرسانی نشده حاوی آسیبپذیریهای اصلاحنشده است (به عنوان مثال، پس از بهرهبرداری، تلاشهایی برای نصب بدافزارهایی انجام شد که کلیدهای دسترسی را رهگیری میکرد و انتقال دادههای محرمانه را از طریق کلیپبورد تحلیل میکرد).
منبع: opennet.ru